本页内容

了解重定向 Web 过滤
示例：通过使用自定义对象配置重定向 Web 过滤来增强安全性

重定向 Web 过滤

重定向 Web 过滤解决方案会拦截 HTTP 请求，并将其发送至 Websense 提供的外部 URL 过滤服务器，以确定是否阻止这些请求。有关更多信息，请参阅以下主题：

了解重定向 Web 过滤

借助重定向 Web 过滤，Web 过滤模块可拦截 HTTP 请求。然后，请求中的 URL 被发送至外部 Websense 服务器，后者会做出允许或拒绝决策。如果允许访问有问题的 URL，原始 HTTP 请求和所有后续请求将发送到预期的 HTTP 服务器。但是，如果拒绝对有问题的 URL 的访问，将向客户端发送阻止消息。

以下是 Web 过滤模块如何拦截、重定向和处理 Web 流量的常规说明：

Web 客户端与 Web 服务器建立 TCP 连接。
然后，Web 客户端会发送一个 HTTP 请求。
设备会拦截请求并提取 URL。根据全局 Web 过滤允许列表和阻止列表检查 URL。如果未匹配，则使用 Websense 服务器配置参数。否则，此过程将继续执行步骤 6。
URL 会发送到 Websense 服务器进行检查
Websense 服务器会返回响应，指示 URL 是否被允许或阻止。
如果允许访问，原始 HTTP 请求将发送到 Web 服务器。如果访问被拒绝，设备会向客户端发送阻止消息并关闭 TCP 连接。

对 HTTP 1.0 和 HTTP 1.1 中定义的所有方法执行 Web 过滤。但是，重定向 Web 过滤在检查 HTTPS 流量时使用目标 IP 作为 URL。

通过实时选项做出决策，准确性更高，因此不支持对重定向 Web 过滤进行缓存。

重定向 Web 过滤不需要订阅许可证。

用于 Web 过滤的用户消息和重定向 URL
对新的 Websense EWF 类别的动态支持

用于 Web 过滤的用户消息和重定向 URL

从 Junos OS 17.4R1 版开始，语句中添加custom-objects了一个新选项custom-message，用于配置用户消息并重定向 URL，以在 URL 被阻止或隔离为每个 EWF 类别时通知用户。该custom-message选项具有以下必需属性：

名称：自定义消息的名称;最大长度为 59 个 ASCII 字符。
类型：自定义消息类型： user-message 或 redirect-url。
内容：自定义消息的内容;最大长度为 1024 个 ASCII 字符。

您可以将用户消息或重定向 URL 作为自定义对象，并将自定义对象分配给 EWF 类别。

用户消息表示网站访问已被组织访问策略阻止。要配置用户消息，请在 type user-message content message-text 层级添加语句 [edit security utm custom-objects custom-message message] 。
重定向 URL 将阻止或隔离的 URL 重定向到用户定义的 URL。要配置重定向 URL，请在 type redirect-url content redirect-url 层级添加语句 [edit security utm custom-objects custom-message message] 。

该 custom-message 选项提供以下优势：

您可以为每个 EWF 类别配置单独的自定义消息或重定向 URL。
您可以通过 custom-message 该选项微调消息，以支持策略，从而知道哪个 URL 被阻止或隔离。

对新的 Websense EWF 类别的动态支持

从 Junos OS 17.4R1 版开始，您可以下载并动态加载新的增强型 Web 过滤（EWF）类别。新 EWF 类别的下载和动态加载不需要软件升级。Websense 偶尔会发布新的 EWF 类别。EWF 根据主机、URL 或 IP 地址将网站分类为类别，并根据类别执行过滤。用户可以在新类别可用后立即利用它们，而不是等待补丁发布。

注意：

现有配置不受新类别的影响，但可修改以利用新类别。

示例：通过使用自定义对象配置重定向 Web 过滤来增强安全性

此示例说明如何通过使用自定义对象配置重定向 Web 过滤并阻止访问不适当的 Web 内容来管理互联网使用情况。

要求
概述
配置
验证

要求

开始之前，详细了解 Web 过滤。请参阅 Web 过滤概述。

概述

使用 Web 过滤的好处是，它可以从 HTTP 请求消息中提取 URL，并根据要求执行过滤。配置重定向 Web 过滤的优势在于，它可以从 HTTP 请求中提取 URL，并将其发送至外部 URL 过滤服务器，以确定允许还是拒绝访问。

在此示例中，您将配置重定向 Web 过滤自定义对象，重定向 Web 过滤功能配置文件，以及重定向 Web 过滤内容安全策略。您还可以将重定向 Web 过滤内容安全策略附加到安全策略。

默认 Websense 重定向服务器端口号为 15868。

如果在每个配置的类别中都发生错误，您可以选择此配置文件的回退设置（阻止或日志和允许）。此示例设置回退设置以阻止配置文件。输入用于客户端和服务器之间通信的插槽数。SRX 系列防火墙的默认值为 32。

最后，输入超时值（以秒为单位）。达到此限制后，将应用故障模式设置。默认为 15 秒，您可以输入 1 到 1800 秒的值。此示例将超时值设置为 10。

拓扑

图 1 显示了 Websense 重定向功能的整体架构。

图 1：Websense 重定向架构 Websense Redirect Architecture

配置

配置重定向 Web 过滤自定义对象
配置重定向 Web 过滤功能配置文件
配置重定向 Web 过滤内容安全策略，并将重定向 Web 过滤内容安全策略附加到安全策略

CLI 快速配置

要快速配置示例的此部分，请复制以下命令，将其粘贴到文本文件中，删除所有换行符，更改详细信息，以便与网络配置匹配，将命令复制并粘贴到层次结构级别的 CLI 中 [edit] ，然后从配置模式进入 commit 。

逐步过程

要配置重定向 Web 过滤自定义对象：

创建自定义对象并创建 URL 模式列表。

使用 URL 模式列表配置自定义 URL 类别列表自定义对象。

创建不受信任的站点列表

使用不受信任站点的 URL 模式列表，配置自定义 URL 类别列表自定义对象。

创建可信站点列表。

使用可信站点的 URL 模式列表，配置自定义 URL 类别列表自定义对象。

结果

在配置模式下，输入命令以确认 show security utm custom-objects 您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

完成设备配置后，请从配置模式进入 commit 。

配置重定向 Web 过滤功能配置文件

CLI 快速配置
逐步过程
结果

CLI 快速配置

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关如何操作的说明，请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。

要配置重定向 Web 过滤功能配置文件：

配置 Web 过滤 URL 阻止列表。

配置 Web 过滤 URL 允许列表。

指定 Web 过滤类型，创建配置文件名称，然后设置服务器名称或 IP 地址。

分别配置自定义类别操作 log-and-permit 以及 permit URL 允许列表和 cust-list2。

输入用于与服务器通信的端口号。

配置此配置文件的回退设置操作 block。

输入用于客户端和服务器之间通信的插槽数量。

输入超时值（以秒为单位）。

结果

在配置模式下，输入命令以确认 show security utm feature-profile 您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

完成设备配置后，请从配置模式进入 commit 。

配置重定向 Web 过滤内容安全策略，并将重定向 Web 过滤内容安全策略附加到安全策略

CLI 快速配置
逐步过程
结果

CLI 快速配置

逐步过程

要配置内容安全策略并将其附加到安全策略：

创建引用配置文件的内容安全策略。

创建和配置安全策略。

将内容安全策略附加到安全策略。

结果

在配置模式下，输入命令以确认 show security utm 您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

在配置模式下，输入命令以确认 show security policies 您的配置。如果输出未显示预期的配置，请重复此示例中的配置说明，以便进行更正。

完成设备配置后，请从配置模式进入 commit 。

验证

要确认配置工作正常，请执行以下任务：

验证重定向 Web 过滤自定义对象的配置
验证重定向 Web 过滤功能配置文件的配置
验证将 Web 过滤内容安全策略重定向到安全策略的附件

验证重定向 Web 过滤自定义对象的配置

目的
行动
意义

目的

验证重定向 Web 过滤自定义对象的配置。

行动

从配置模式中的配置顶部输入 show security utm custom-objects 命令。

意义

示例输出显示创建的自定义对象列表。

验证重定向 Web 过滤功能配置文件的配置

目的
行动
意义

目的

验证重定向 Web 过滤功能配置文件的配置。

行动

从配置模式中的配置顶部输入 show security utm feature-profile 命令。

意义

示例输出显示为 Websense 重定向服务器配置的功能配置文件。

验证将 Web 过滤内容安全策略重定向到安全策略的附件

目的
行动
意义

目的

验证新创建的 Web 过滤内容安全策略重定向到安全策略的附件。

行动

从配置模式中的配置顶部输入 show security utm 和 show security policies 命令。

意义

示例输出显示了新创建的重定向 Web 过滤内容安全策略所附加的安全策略。

版本历史记录表

释放

描述

17.4R1

从 Junos OS 17.4R1 版开始，语句中添加 custom-objects了一个新选项 custom-message，用于配置用户消息并重定向 URL，以在 URL 被阻止或隔离为每个 EWF 类别时通知用户。

17.4R1

从 Junos OS 17.4R1 版开始，您可以下载并动态加载新的增强型 Web 过滤（EWF）类别。

本页内容

重定向 Web 过滤

了解重定向 Web 过滤

用于 Web 过滤的用户消息和重定向 URL

对新的 Websense EWF 类别的动态支持

另请参阅

示例：通过使用自定义对象配置重定向 Web 过滤来增强安全性

要求

概述

拓扑

配置

配置重定向 Web 过滤自定义对象

CLI 快速配置

逐步过程

结果

配置重定向 Web 过滤功能配置文件

CLI 快速配置

逐步过程

结果

配置重定向 Web 过滤内容安全策略，并将重定向 Web 过滤内容安全策略附加到安全策略

CLI 快速配置

逐步过程

结果

验证

验证重定向 Web 过滤自定义对象的配置

目的

行动

意义

验证重定向 Web 过滤功能配置文件的配置

目的

行动

意义

验证将 Web 过滤内容安全策略重定向到安全策略的附件

目的

行动

意义

另请参阅

相关文档